STATO MAGGIORE DELL ESERCITO III Reparto Impiego delle Forze/Centro Operativo Esercito Ufficio Sicurezza e Informazioni

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "STATO MAGGIORE DELL ESERCITO III Reparto Impiego delle Forze/Centro Operativo Esercito Ufficio Sicurezza e Informazioni"

Transcript

1 STATO MAGGIORE DELL ESERCITO III Reparto Impiego delle Forze/Centro Operativo Esercito Ufficio Sicurezza e Informazioni DIRETTIVA Sicurezza dei Sistemi Informatici e di Telecomunicazione n classificati Politica di Sicurezza dell Esercito (SME INFOSEC 001) Edizione 2010 Cap. co.ing. Cosimo ANDRIOLA La presente direttiva consta di n. 32 pagine.

2 INDICE CAPO I Premessa Scopo e ambito di applicazione CAPO II ORGANIZZAZIONE DELLA SICUREZZA ICT Lo Schema Nazionale Sicurezza ICT La struttura organizzativa per la sicurezza informatica della Difesa La Struttura Operativa di Sicurezza ICT dell Esercito CAPO III- SICUREZZA DELLE RISORSE ICT Obiettivi di sicurezza Il Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS) Procedura di autovalutazione per la gestione della sicurezza La classificazione delle risorse Sicurezza del Personale Sicurezza fisica e ambientale Sicurezza dei Sistemi e delle Reti CAPO IV- GESTIONE DEGLI INCIDENTI DI SICUREZZA INFORMATICA E DELLA CONTINUITÀ DEI SERVIZI Generalità Il CERT Esercito Organizzazione Formazione del personale del CERT EI Procedura di gestione di un incidente informatico CAPO V- LINEE GUIDA PER LA COMPILAZIONE DEL DISCIPLINARE INTERNO PER L UTILIZZO DEI SERVIZI NON CLASSIFICATI DI POSTA ELETTRONICA ED ACCESSO A INTERNET Generalità Principi di redazione del Disciplinare Inter Informativa sulle modalità di utilizzo di posta elettronica ed internet Responsabilità del Titolare Misure di tipo organizzativo Misure di tipo teclogico Trattamenti esclusivi Monitoraggio e controlli Aggiornamento periodico CAPO VI- RIFERIMENTI NORMATIVI Generalità Riferimenti rmativi ALLEGATI Valutazione del livello di sicurezza test di auto-diagsi

3

4 CAPO I Premessa La garanzia del possesso delle informazioni in tutte le sue diverse forme di rappresentazione è un elemento fondamentale per consentire alla Forza Armata il pie ed efficace assolvimento di tutti i compiti istituzionali. L evoluzione delle teclogie informatiche ha permesso allo strumento militare di dotarsi di sistemi informativi e di Comando e Controllo automatizzati che permetto l immagazzinamento e lo scambio di ermi quantità di dati/informazioni in tempo utile a decidere ai vari livelli di comando. L utilizzo di tali strumenti tuttavia ha reso l Organizzazione militare vulnerabile ad una serie di rischi provenienti sia dall ester sia dall inter della stessa. Al fine di tutelare il patrimonio informativo nella sua totalità, assume sempre maggiore importanza la necessità di garantire la disponibilità, l integrità e la confidenzialità sia dei sistemi/mezzi di comunicazione sia delle informazioni gestite/memorizzate/scambiate. In tale ambito, la presente Direttiva a similitudine di quanto previsto in ambito NATO costituisce il riferimento rmativo di base sul quale viene costruito, nel tempo, il corpo dottrinale completo della sicurezza informatica della Forza Armata conformemente anche alle indicazioni dello Stato Maggiore della Difesa che ha individuato negli Stati Maggiori delle Forze Armate gli Enti Utenti Principali EPU del sistema di sicurezza informatica della Difesa. Scopo e ambito di applicazione Scopo della presente Direttiva è quello di fornire una visione d insieme della politica di sicurezza ICT (Information and Communication Techlogy) dell Esercito limitatamente al dominio NON CLASSIFICATO in termini di obiettivi da perseguire nell ambito di tutta la FA. Essa ha precedenza su qualsiasi altra disposizione in materia che dovesse presentarsi in contrasto, qualora n espressamente abrogata, e deve essere applicata a tutti le risorse ICT di Forza Armata schierati/impiegati sia in Madrepatria sia nei T.O. Al Comando Trasmissioni e Informazioni Esercito (CoTIE), in qualità di Ente responsabile delle reti 1 della Forza Armata, spetta il compito di tradurre le linee di policy generale tracciate nella presente Direttiva in regolamenti attuativi attraverso la definizione delle teclogie, degli strumenti, delle misure ritenute tecnicamente più efficaci per garantire un livello di sicurezza adeguato. Tali disposizioni dovran essere diramate in maniera organica fi ai singoli Enti/Distaccamenti/Reparti mediante apposite direttive, da aggiornare periodicamente, al fine di facilitarne la comprensione e la successiva attuazione. Per quei sistemi che si configura come isolati (ad es. reti LAN confinate all inter di singoli Comandi e n connesse con altre reti) è responsabilità dei Comandanti, che si avvalgo del personale tecnico preposto, ispirarsi ai criteri di sicurezza contenuti nella presente direttiva. Di seguito vengo stabiliti: - i criteri generali di sicurezza; - i ruoli e le responsabilità riguardanti l area della sicurezza ICT; - le modalità di gestione degli incidenti informatici e la continuità dei servizi. 1 Nel presente documento si utilizzerà, per semplicità, il termine responsabile delle reti intendendo con esso la responsabilità di attuazione, in aderenza alle direttive dello Stato Maggiore Esercito, della politica di sviluppo e di sicurezza dei sistemi C4 campali e di infrastruttura dell Esercito.

5 CAPO II ORGANIZZAZIONE DELLA SICUREZZA ICT Lo Schema Nazionale Sicurezza ICT L organizzazione della sicurezza ICT dell Amministrazione Difesa opera in conformità allo schema nazionale proposto dal Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni, riportato in Figura 1. GOVERNO Comitato Tecnico Nazionale per la sicurezza ICT nelle PP.AA. Forze dell Ordine Centro Nazionale per la Sicurezza Informatica (CNSI) Organismi di Certificazione ANS Garante per la Privacy Unità di coordinamento Unità di gestione degli incidenti Unità di formazione Unità locali (o operative) Centro di ricerca Organismi Internazionali Aziende produttrici e di servizi Figura 1 Figura 1 Schema nazionale sicurezza ICT (CNSI) La struttura organizzativa per la sicurezza informatica della Difesa Le informazioni e i servizi informatici dell Amministrazione Difesa so parte integrante del proprio patrimonio ed elemento fondamentale per lo svolgimento delle finalità istituzionali, pertanto si presuppone il corretto svolgimento delle azioni di prevenzione, protezione e contrasto. Le logiche organizzative generali so: presidio globale, mediante una visione unitaria e strategica in grado di valutare sia il rischio operativo sia le necessarie misure di sicurezza; corretta responsabilizzazione, mediante una valutazione del rischio e l individuazione di ruoli dell amministrazione dotati di responsabilità; bilanciamento Rischio/Sicurezza; separazione dei compiti, secondo il principio che chi esegue n controlla e viceversa. Di seguito, si riporta le funzioni e le relative principali responsabilità che costituisco la struttura organizzativa della Difesa in materia di sicurezza ICT (per maggiori dettagli a riguardo si rimanda alla pubblicazione SMD-I-019 ): Consigliere tecnico del Ministro della Difesa per la Sicurezza ICT E il consulente strategico del Ministro, l interfaccia tra il Comitato di Sicurezza ICT ed il titolare del Dicastero.

6 Comitato per la Sicurezza ICT E l orga di coordinamento strategico, cui viene demandata la politica di sicurezza delle infrastrutture teclogiche e del patrimonio informativo. Tale Comitato, presieduto dal Sottocapo di SMD, coincide con il Comitato di Coordinamento per l ammodernamento e l invazione. Comitato di Coordinamento per la Sicurezza ICT (CCSI) E la struttura esecutiva del Comitato per la Sicurezza ICT composta dai rappresentanti dello SMD, di Segredifesa/DNA, delle Forze Armate e del Comando Generale dell Arma dei Carabinieri. E presieduto dal Vice Capo Reparto del II Reparto Informazioni e Sicurezza dello SMD ed è responsabile della elaborazione delle politiche di sicurezza generali per le Reti n classificate della Difesa da sottoporre all approvazione del Comitato per la Sicurezza ICT. Dirigente Responsabile dei Sistemi Informativi Automatizzati dell AD (DGReSIAD) È il referente cui compete la pianificazione degli interventi di automazione, l adozione delle cautele e delle misure di sicurezza, la committenza delle attività da affidare all ester. Coincide con il Capo del VI Reparto dello SMD. Responsabile della Sicurezza ICT (Difesa) E il Comandante del Comando C4 Difesa posto alla dipendenza gerarchico-funzionale del Capo del VI Reparto di SMD, responsabile dell attuazione delle politiche di sicurezza ICT per le reti telematiche della Difesa. La struttura organizzativa per la sicurezza informatica della Forza Armata Per poter rispondere al meglio alla minaccia ai sistemi ICT, la Forza Armata ha inteso dotarsi di una propria organizzazione, secondo il modello seguente: Responsabile della Sicurezza ICT di FA È il soggetto al quale compete la definizione della politica generale di sicurezza presso la Forza Armata in conformità con gli indirizzi e le policy di sicurezza emesse dal Comitato per la Sicurezza ICT. In tale ambito ha la responsabilità, tra l altro, di: emanare le misure e i provvedimenti direttivi di alto livello per il raggiungimento/mantenimento del grado di sicurezza informatica auspicato; condurre attività di coordinamento con le Autorità/Organi responsabili della sicurezza ICT della Difesa e delle altre Forze Armate, secondo le regole ed i tempi concordati; indirizzare, se necessario, le attività del CERT di Forza Armata nella gestione di incidenti informatici, in coordinamento con il CERT della Difesa; tificare alla Difesa eventuali situazioni di vulnerabilità/attenzione, qualora n già fatto dal CERT di Forza Armata. Si identifica nell Ufficiale Generale Delegato alla Sicurezza dell Esercito. Ufficio Sicurezza e Informazioni dello Stato Maggiore dell Esercito E l orga di cui il Responsabile alla Sicurezza ICT si avvale nella definizione della politica generale di sicurezza della Forza Armata. In tale contesto: rappresenta il naturale referente della Forza Armata nei confronti di analoghi attori dello Stato Maggiore della Difesa (SMD) e degli SM delle altre Forze Armate; partecipa ai maggiori consessi sia in ambito Difesa (ad esempio, Comitato di

7 Coordinamento per la Sicurezza ICT) sia in contesti internazionali; propone l adozione di misure eccezionali a salvaguardia della sicurezza ICT; fornisce il proprio parere sulle proposte avanzate dal CoTIE in tema di sicurezza ICT; vigila, anche attraverso attività ispettive, sulla corretta attuazione delle misure di sicurezza da parte di tutti gli Enti/Distaccamenti/Reparti. Comando Trasmissioni e Informazioni Esercito Come anticipato nel Capo I, in quanto Ente responsabile delle reti ICT della Forza Armata, il CoTIE ha il compito principale di tradurre le linee di policy generale definite dal Responsabile della Sicurezza ICT di Forza Armata in una serie di misure teclogiche e procedurali, cui tutti gli Enti/Distaccamenti/Reparti so tenuti a conformarsi. Egli agisce, pertanto, in automia per quanto concerne la definizione delle azioni discendenti dalla presente Direttiva, mentre formula proposte, attraverso l Ufficio Sicurezza e Informazioni dello SME, per quelle soluzioni la cui natura n presenta u stretto legame con i contenuti di essa. Il CoTIE è, iltre, responsabile di tutte le azioni, attive e passive, per fronteggiare attacchi ovvero incidenti informatici, per mitigarne gli effetti e per il successivo ripristi delle funzionalità della rete, azioni che esprime attraverso il Computer Emergency Response Team della Forza Armata (CERT EI vds. successivo CAPO IV). La Struttura operativa di sicurezza ICT dell Esercito Oltre agli attori di riferimento indicati in precedenza, l organizzazione di sicurezza ICT di Forza Armata prevede la costituzione di ulteriori strumenti di controllo per: la difesa da eventuali intrusioni dall ester; la difesa da comportamenti malevoli interni; preservare l immagine di fiducia (trust) del proprio dominio (EInet) e delle sue connessioni esterne (DIFENET, internet). A tal fine è istituita una struttura funzionale per la gestione delle problematiche informatiche che prevede, oltre al CERT-EI, anche una organizzazione territoriale capillare in tutto il dominio Esercito. Ogni Comandante, nella piena consapevolezza della necessità di dover proteggere le informazioni elaborate localmente e in aderenza alla rmativa vigente, è tenuto a intervenire attraverso l efficace sensibilizzazione/addestramento del personale dipendente ed il contrasto ai comportamenti amali. Con questi presupposti, si attua una strategia di sicurezza univoca di Forza Armata che si basa: sulla definizione delle criticità e sulla individuazione delle risorse da proteggere; sull aumento delle capacità del personale di impiegare in modo sicuro e responsabile i sistemi e i programmi informatici; sul rafforzamento delle capacità di gestione delle attività, attraverso la creazione ed il supporto di gestori/amministratori dei sistemi e figure di responsabilità (U. alla Sic. EAD designato / Responsabile Operativo locale della Sicurezza) capaci ed affidabili; sulla protezione delle risorse, mediante il controllo degli apparati condivisi e una compartimentazione dei contenitori delle informazioni, sulla base della reale necessità di coscere; sulla presenza di misure/teclogie di protezione e sull applicazione di misure restrittive; sulla individuazione di comportamenti amali/malevoli, per il tramite di una ricerca attiva e continua di eventuali azioni n autorizzate; sulla pronta reazione a tutti i livelli di Comando, allo scopo di sanzionare e correggere quei comportamenti sospetti e/o inaccettabili con provvedimenti disciplinari e, se necessario, legali. In definitiva, la struttura operativa di sicurezza ICT dell Esercito può essere sintetizzata come

8 schematizzato nella figura n. 2 riportata di seguito: RESPONSABILE DELLA SICUREZZA ICT DELL ESERCITO ENTE/DISTACCAMENTO/REPARTO PROPRIETARIO DELLE INFORMAZIONI E DELLE APPLICAZIONI RESPONSABILE OPERATIVO LOCALE PER LA SICUREZZA ICT Amministratore di rete Amm. di sistema/applicativo Figura 2 Dipendenza funzionale per via gerarchica Dipendenza funzionale Presso ciascun Ente/Distaccamento/Reparto (E/D/R) vi è, pertanto, la presenza del: Proprietario delle informazioni e delle applicazioni E il soggetto responsabile nei confronti degli utenti e delle istituzioni, del corretto trattamento delle informazioni e impiego delle applicazioni nel rispetto delle rmative nazionali e della policy dell Esercito. Di rma coincide con il Comandante dell E/D/R in cui si svolgo i trattamenti e presso cui so installate/utilizzate le applicazioni. Responsabile Operativo locale per la Sicurezza ICT Nominato dal Comandante, è responsabile: del controllo delle attività di sicurezza ICT nell ambito del proprio E/D/R e di quelli gerarchicamente dipendenti; dell applicazione delle rme afferenti al settore della sicurezza ICT (Sistemi EAD n classificati, compresa internet). Allo scopo di garantire una visione globale della sicurezza EAD (classificata e n) dell intero Ente, il Responsabile Operativo locale per la Sicurezza si identifica, di rma, con l Ufficiale alla Sicurezza EAD designato. Tuttavia, in virtù della complessità della struttura in cui ci si trova ad operare, il Comandante può assegnare il citato incarico a persona diversa, nel qual caso egli dipende funzionalmente dall Ufficiale alla Sicurezza EAD designato. Ove n diversamente specificato, nel seguito della presente Direttiva con il termine Responsabile Operativo locale per la Sicurezza si intenderà l Ufficiale alla Sicurezza EAD designato.

9 CAPO III Amministratore di rete e Amministratore di Sistema/Applicativo Sia l Amministratore di rete, sia l Amministratore di sistema/applicativo, so minati dal Comandante. La scelta deve essere effettuata sulla base di una ricosciuta affidabilità ed expertise accumulata nello specifico settore. A tali figure, che avran dipendenza funzionale dal Responsabile Operativo locale per la Sicurezza ICT, è attribuita la diretta responsabilità di attuare sia sulle reti, sia sui sistemi/applicativi di pertinenza le soluzioni teclogiche adatte a implementare, all inter del proprio E/D/R, la policy di sicurezza ICT e le direttive applicative discendenti, fermo restando che è preciso compito di ciascun Comandante controllarne la corretta applicazione. SICUREZZA DELLE RISORSE ICT Obiettivi di sicurezza Il dominio Esercito (inteso come l insieme di sistemi, applicativi, reti di calcolatori, informazioni) deve avere caratteristiche di sicurezza tali da poter essere considerato un dominio affidabile (trusted) ossia capace di assicurare senza soluzione di continuità la confidenzialità, l integrità e la disponibilità delle informazioni gestite e conservate nei propri sistemi informatici e di telecomunicazione. Ciascun E/D/R della Forza Armata deve garantire la diffusione e l applicazione dei principi generali di sicurezza ICT, all inter dei propri domini di competenza in modo da assicurare il raggiungimento del livello minimo comune di sicurezza. L affidabilità del dominio Esercito è data dalla minima affidabilità assicurata da ciascun sottodominio che lo costituisce 2. Pertanto, su ogni sottodominio, come sull intera EInet devo essere perseguiti gli stessi obiettivi minimi di sicurezza. Iltre le interconnessioni con reti untrusted (es. reti di pubblico dominio, internet) devo essere costantemente monitorate e se n necessarie dovran essere disattivate. Il Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS) Nella figura n. 3, è rappresentato lo schema del Sistema di Gestione della Sicurezza delle Informazioni dell Esercito (SGSI o nella dicitura anglosassone Information Security Management System) quale complesso delle politiche, linee guida, procedure, misure di protezione fisiche, tecniche e relative al personale che opera con i sistemi. Attraverso il SGSI, devo essere sviluppate le politiche, gli standard, le linee guida e le procedure operative e di sicurezza dei sistemi informatici della Forza Armata. 2 Principio dell anello più debole

10 Figura 3 Il modello per il controllo dei processi da applicare al sistema documentale indicato in figura 3, per una ottimale gestione del rischio è il PDCA (Plan, Do, Check, Act) ossia: Pianificazione (emanazione della policy e delle direttive); implementazione (della policy e delle direttive); verifica dell efficacia; aggiornamento e miglioramento della documentazione. Procedura di autovalutazione per la gestione della sicurezza Ogni E/D/R deve adottare ed applicare, alme annualmente, un processo di autovalutazione del proprio livello di sicurezza 3, secondo la procedura definita in Allegato 1, al fine di: acquisire coscenza delle minacce e delle vulnerabilità che incombo sui propri sistemi; poter dirigere sforzi e risorse a difesa delle aree più a rischio e assicurare la citata base minima di sicurezza. Nel caso in cui dall autovalutazione scaturisse un livello di sicurezza NON ADEGUATO, si dovran porre in essere tutte le azioni ritenute necessarie (eventualmente con il supporto tecnico del CoTIE) per elevare tale livello fi ad ADEGUATO. Il Responsabile della Sicurezza ICT dell Esercito ha la facoltà di imporre, in ambito Forza Armata, la metodologia ritenuta più idonea in modo da uniformare processi di valutazione, risultati e termilogia utilizzata. La classificazione delle risorse La protezione delle informazioni attraverso l applicazione dei principi di confidenzialità, di integrità e di disponibilità delle stesse, n può prescindere da una propedeutica attività di identificazione, classificazione e controllo delle risorse, il cui possesso integro è essenziale per la Forza Armata e la Difesa. La classificazione ha l obiettivo di consentire l adozione di misure di sicurezza commisurate al valore della risorsa stessa, mediante l acquisizione della consapevolezza del livello di importanza e la suddivisione in classi sulle quali poter poi predisporre servizi di sicurezza differenziati. Ciascuna risorsa deve essere associata ad un proprietario il quale ha i seguenti compiti: garantire che la risorsa sia classificata in modo appropriato; 3 Attività in aderenza alla Direttiva 16 gennaio 2002 del Presidente del Consiglio dei Ministri Dipartimento per l Invazione e le Teclogie Sicurezza Informatica e delle Telecomunicazioni nelle P.A. Statali

11 definire e rivedere periodicamente le classificazioni applicate; assicurare la protezione delle informazioni personali. Un elenco, n esaustivo delle risorse da considerare è il seguente: le banche dati/archivi; le reti di comunicazione e le connessioni geografiche utilizzate per lo scambio delle informazioni; le applicazioni; gli impianti teclogici di supporto (impianti elettrici, di riscaldamento, di rivelazione e spegnimento incendi, di condizionamento ecc); i servizi offerti; Ciascuna risorsa individuata dovrà essere localmente censita e mantenuta in inventario, al fine di poterla univocamente identificare, localizzare ed associare correttamente alla struttura organizzativa proprietaria, allo scopo di procedere ad una valutazione delle risorse stesse.

12 La classificazione deve essere effettuata secondo lo schema riportato di seguito: Classificazione in base al valore della risorsa 1 Minimo 2 Normale 3 Base 4 Critico 5 Essenziale Descrizione Bassa rilevanza. Una eventuale perdita, distruzione o alterazione n comporta impatti ecomici e organizzativi di rilievo. Impatto localizzato. Rilevanza marginale. Nel caso di distruzione o alterazione l impatto ecomico ed organizzativo è marginale e circoscritto. Importante. Nel caso di perdita, distruzione o alterazione è necessario un ripristi al più nell arco di pochi giorni per evitare ripercussioni negative anche gravi su una o più organizzazioni della Difesa. Alto valore per processi critici della Forza Armata. L eventuale perdita, distruzione o alterazione può avere conseguenze molto rilevanti sulla capacità operativa dell intero sistema informatico. Estremo valore. La loro eventuale perdita, distruzione o alterazione può portare al blocco completo dell operatività dell intera Forza Armata. Per una corretta, classificazione si dovrà tenere conto dei seguenti fattori: possibili danni materiali; impatto operativo derivante dal mancato trattamento in sicurezza delle informazioni. La classificazione delle risorse dovrà essere soggetta a periodiche rivisitazioni, anche sulla base delle linee guida che saran definite dal CoTIE. Tra le risorse, particolare importanza assumo le informazioni. La classificazione delle informazioni In ambito Difesa vengo individuate tre tipologie di informazioni: informazioni dell amministrazione; informazioni del personale; informazioni di log o di registrazione. Informazioni dell amministrazione: informazioni relative ai processi funzionali della specifica organizzazione. Tali informazioni han spesso una valenza generalizzata e quindi vengo anche trattate al di fuori dell organizzazione che le ha generate. Il rischio derivante da una cattiva o mancante classificazione dell informazione è elevato. Ad esse si applica le limitazioni basate sul principio che l informazione appartiene a colui che la genera e derivanti dallo specifico procedimento che l amministrazione svolge. Informazioni del personale: ad esse si applica le limitazioni nel trattamento previste dalla rmativa vigente sulla tutela delle informazioni personali. Informazioni di log o di registrazione del sistema ICT so relative al funzionamento e all utilizzo dello stesso sistema. Tali informazioni posso essere utilizzate per verificare l uso del sistema ICT da parte degli utilizzatori, piuttosto che delle azioni di pirateria informatica provenienti dalla rete interna o da Internet. Per una corretta classificazione delle informazioni è opportu iltre tener conto: dei risvolti operativi e gestionali: per quanto tempo so trattenuti prima di essere distrutti, come so trattati (dati confidenziali, pubblici, ecc.), come so protetti.

13 dei rischi: perdita di informazioni critiche dovuta a un trattamento inadeguato; compromissione di informazioni confidenziali durante la trasmissione; distruzione o danneggiamento delle informazioni in seguito all omissione o all insufficienza di misure di sicurezza; diffusione di informazioni n autorizzate a causa di carente o n presente classificazione. Infine deve essere: individuato il livello di rischio (alto/medio/basso); applicato l insieme di contromisure per la sua riduzione in relazione al livello di criticità della risorsa protetta, secondo quanto definito dal CoTIE. Sicurezza del personale Il personale dell Amministrazione Difesa è parte attiva del processo di gestione del rischio e, quindi, deve essere a coscenza delle politiche e delle procedure di sicurezza adottate. Nella maggior parte dei casi, la minaccia ai sistemi informatici è da attribuire ad errati comportamenti interni all organizzazione. Tali comportamenti censurabili posso essere ordinati in quattro differenti categorie: comportamenti volutamente malevoli, il cui risultato è l intenzionale compromissione e/o la distruzione di informazione e dei servizi offerti dai sistemi, con evidente riduzione della capacità di operare da parte degli altri utenti interni; superficialità nell applicazione delle procedure di sicurezza, che può comportare: pubblica diffusione di informazioni; immagazzinamento di informazioni classificate su supporti/sistemi n autorizzati; errata/n opportuna distruzione di informazioni; n adeguata protezione/controllo del materiale informatico (in particolare se classificato e/o sensibile) al di fuori delle strutture militari controllate. superamento dei propri limiti di necessità di coscere, eccedendo o abusando dei propri diritti di accesso alle risorse allo scopo di esplorare se n di manipolare il sistema informativo su cui si è autorizzati ad operare; scarsa coscenza nell uso dei sistemi, delle politiche e delle procedure di sicurezza. Pertanto, la sicurezza presuppone il coinvolgimento di tutti gli utenti finali, rendendo necessaria una maggiore diffusione della cultura della sicurezza ed una capillare e continua azione di informazione, finalizzata a sensibilizzare e responsabilizzare tutti gli utenti. Ciascun E/D/R della Forza Armata si a livello reggimento/battaglione automo o equivalente deve garantire la disponibilità di proprio personale opportunamente addestrato per la gestione della sicurezza informatica dei sistemi e dei servizi ICT di propria competenza e/o utilizzazione. In tale ambito assume particolare importanza la corretta e puntuale pianificazione delle attività di formazione del personale in parola. Sicurezza Fisica ed Ambientale Al fine di assicurare la disponibilità delle risorse fisiche, è necessario innanzitutto predisporre un ambiente fisico protetto attraverso misure di controllo correlate ai rischi e al valore delle risorse. Di seguito, so indicati i principi ritenuti basilari in ambito Amministrazione Difesa. a. Protezione del personale La tutela della sicurezza e della salute delle persone fisiche è obiettivo primario che deve

14 essere garantito mediante una costante e capillare attività di informazione e formazione supportata dalla messa in sicurezza dei locali ed apparati. Il personale, oltre ad essere a coscenza della specifica modalità di accesso e fruizione della struttura in cui opera, deve essere informato sulle procedure da attuare in situazioni di emergenza. In tutte le aree di lavoro, deve esistere la documentazione prevista per i comportamenti nei casi di emergenza (alme di evacuazione e di sgombero) e quadri di sintesi che consenta l intervento anche da parte di personale n specificatamente addetto. b. Individuazione dei parametri di sicurezza Per prevenire i rischi di perdita o sottrazione di risorse informative, devo essere ben individuati i perimetri fisici di sicurezza con accesso selezionato in funzione al grado di criticità delle attività che vi si svolgo e del valore delle informazioni che vi so conservate. In particolare, tali perimetri si suddivido in: Aree pubbliche a libero comune accesso; Aree interne, dove il personale inter espleta le rmali attività di lavoro e posso comprendere quelle aree di eventuale carico e scarico di materiali in cui è permesso l accesso anche di personale ester debitamente autorizzato; Aree EAD ed Aree riservate EAD, ad accesso proporzionalmente ristretto e controllato, laddove so ospitate infrastrutture ICT. c. Controllo degli accessi fisici Prima di accedere nelle aree precedentemente citate, specialmente quelle EAD, rmalmente si è sottoposti ad una identificazione presso dei punti di controllo, nel quale viene controllata la sussistenza di adeguata autorizzazione. d. Protezione dei cablaggi I cablaggi elettrici e quelli relativi alla trasmissione delle informazioni devo essere protetti da danneggiamenti o interruzioni, al fine di evitare impatti sui servizi forniti. In particolare, le linee elettriche dovrebbero essere separate dalle linee informazioni (che posso eventualmente richiedere schermature e protezioni contro eventuali intercettazioni). e. Protezione delle apparecchiature informatiche Tutte le apparecchiature informatiche devo preferibilmente essere allocate in quelle aree in cui l accesso di personale n addetto all elaborazione delle informazioni è ridotto al minimo. f. Sicurezza dei Centri di Elaborazione Dati (Data Center) I Data Center rappresenta da sempre elementi particolarmente delicati nella continuità di funzionamento di una infrastruttura ICT. La presenza al loro inter di apparati e risorse informatiche di specifica rilevanza, fa si che, essendo solitamente locali n specificatamente progettati per tale scopo (in quanto edifici costruiti con diversa destinazione e quindi in possesso delle ovvie lacune e limitazioni per gli aspetti strutturali e logistici), devo essere costantemente sottoposti ad adeguamenti teclogici. Per quanto sopra, è opportu sempre verificare l idoneità (in termini di fattori di rischio) di: ambienti e confini (zone sismiche, rischi indazioni e maremoti, depositi carburanti, industrie chimiche ecc);

15 struttura dell edificio, progettato per consentire l idonea distribuzione degli impianti teclogici e strutturali e facilmente gestibile in caso di emergenza, evacuazione e di controllo degli accessi; impianto elettrico, ben dimensionato, distribuito e ridondante con disponibilità di gruppi di continuità. Iltre devo essere previste e regolamentate attività periodiche per il controllo dei sistemi ausiliari e di ridondanza; impianto di telecomunicazione, realizzato con reti TLC distinte e ridondanti; impianto di condizionamento, ben dimensionato al progetto per il mantenimento della corretta temperatura indispensabile al funzionamento del sistema; impianto antincendio, nel quale deve essere ben determinato il sistema di rivelazione e neutralizzazione degli incendi in base al progetto e dimensionamento dei locali. La protezione dal fuoco deriva anche da opportune scelte strutturali, quali la possibilità di contenimento del fuoco nelle diverse sezioni, l assenza di materiali infiammabili e la presenza di isolanti e contro soffittature. Devo iltre essere previste e regolamentate attività periodiche di simulazione antincendio per tutto il personale addetto; controllo accessi, da effettuare rigorosamente mediante identificazione personale. Nei Data Center di rilevante importanza è auspicabile la presenza di sistemi di sorveglianza continua e di controllo degli accessi; sistemi di monitoraggio e di allarme, con procedure automatiche di escalation a seconda dei fattori di pericolosità rilevata; manutenzione apparecchiature. Sicurezza dei Sistemi e delle reti La riorganizzazione dell intero sistema informativo dell Amministrazione Difesa verso il modello architetturale Net Centric Information Management System (NC-IMS) e la conseguente volontà di perseguire un ampia distribuzione ed articolazione delle utenze che accedo alle applicazioni ed ai servizi erogati, impone sempre più l attuazione e il rispetto di requisiti di sicurezza, mediante una maggiore sensibilità alle specifiche problematiche e la loro puntuale osservanza. Pertanto l accesso alle risorse informatiche deve essere formalmente autorizzato in base alle reali esigenze operative e alle credenziali degli utenti. I gestori dei singoli sistemi, EInet inclusa, devo individuare i servizi considerati essenziali e critici, valutando l impatto massimo che potrebbe avere la loro mancata disponibilità e predisponendo appositi piani per assicurarne la continuità e il ripristi (Business Continuity Plan e Disaster Recovery Plan). I Responsabili Operativi Locali di Sicurezza ICT devo effettuare una continua e puntuale attività di monitoraggio, allo scopo di assicurare: l aggiornamento dei piani citati; la loro efficacia nel tempo. Tali verifiche dovran prevedere esercitazioni pratiche con cadenza periodica alme annuale che fornisca indicazioni circa i risultati ottenuti dall applicazione dei piani. L esito di ogni esercitazione dovrà essere sommariamente registrato e tenuto a disposizione (a cura del Responsabile Operativo Locale della Sicurezza ICT) per alme tre anni per eventuali ispezioni. a. Connessioni tra la rete EInet ed altre reti della Difesa/P.A. e servizi internet Nel caso in cui, per esigenze operative, dovran essere interconnessi sistemi della Forza Armata con sistemi appartenenti ad altri Enti della Difesa/P.A., dovrà essere necessariamente chiesta la preventiva autorizzazione da parte dell Ufficio Sicurezza e Informazioni dello SME, per i riflessi sulla sicurezza che tale misura comporta.

16 Per quanto concerne l esposizione di servizi su internet da parte di qualsiasi E/D/R della Forza Armata (ad esempio realizzazione di siti web), essa dovrà essere sottoposta alla valutazione e successiva autorizzazione da parte dello Stato Maggiore dell Esercito e comunque dovrà avvenire attraverso i gateway di Forza Armata. In particolare, in considerazione dell importanza che riveste l informazione veicolata all ester, la competenza ed il coordinamento della stessa risale direttamente all Ufficio Affari Generali dello SME, mentre per quanto concerne gli aspetti tecnici e quelli relativi alla sicurezza dovran essere interessati, rispettivamente, l Ufficio Comunicazioni e Sistemi e l Ufficio Sicurezza e Informazioni. b. Politiche di controllo degli accessi Per ciascun utente o gruppo di utenti e per i fornitori di servizi, devo essere definite, a cura del CoTIE le modalità e le regole per implementare la corretta politica degli accessi alle risorse e a internet (ad esempio fissando e controllando i punti/siti di accesso attraverso cui gli utenti EInet posso/devo collegarsi a internet). Le regole per il controllo degli accessi devo essere supportate alme da: procedure formali; responsabilità chiaramente definite. Il profilo dell utente deve essere sempre coerente con i controlli di accesso configurati all inter dei sistemi e delle applicazioni a cui l utente ha necessità di accedere. La procedura che una organizzazione deve attuare nella gestione degli accessi è composta dalle seguenti fasi principali: registrazione degli utenti, dove viene verificata l identità dell utente e vengo consegnati le credenziali per l utilizzo dei sistemi informatici; gestione dei privilegi, concessi per consentire operazioni particolari che rmalmente n so ad appannaggio degli utenti o programmi utente, ma solo di utenti amministratori e di programmi di sistema; gestione delle password di utente (alme 6 caratteri alfanumerici che devo essere variate periodicamente); revisione periodica dei diritti di accesso, da riesaminare ad intervalli regolari e dopo ogni cambiamento di ruolo dell utente (promozione, trasferimento o fine rapporto). c. Responsabilità degli utenti Tutti gli utenti devo essere resi consapevoli, attraverso specifici e periodici indottrinamenti, dell importanza di un comportamento responsabile al fine di mantenere efficace il controllo degli accessi. Adeguata rilevanza deve essere posta in merito all utilizzo delle password e dei dispositivi di sicurezza loro affidati e in generale ad ogni sistema/dispositivo/informazione gestita, che deve essere utilizzato nel pie rispetto dei regolamenti e della legislazione vigente. Tale disposizione deve essere espressamente indicata/richiamata nei Documenti Programmatici di Sicurezza editi da ciascun E/D/R. d. Controllo dell accesso alla rete L accesso degli utenti alle reti e ai servizi deve avvenire in modo da n compromettere la loro sicurezza, evitando la possibilità di accessi n autorizzati. Pertanto, è opportuna la predisposizione di appropriati meccanismi di autenticazione di controllo degli accessi a qualunque servizio informatico disponibile in rete, in particolare nell interconnessione tra differenti Domini o con le reti pubbliche. L utilizzo dei servizi offerti da Internet utilizzando qualsiasi postazione di proprietà dell A.D., ovvero che appartenga o me alla intranet di Forza Armata Einet, dovrà avvenire esclusivamente attraverso i proxy server individuati dal CoTIE ed approvati dallo Stato Maggiore dell Esercito, salvo autorizzazioni da concedere in via del tutto eccezionale da esaminare caso per caso. Ogni

17 altra soluzione priva di qualsiasi forma di controllo da parte del CoTIE (ad esempio attraverso telefoni cellulari, modem, ecc.) è espressamente vietata. Deve essere assicurata la massima sicurezza nell interconnessione delle reti, utilizzando adeguate politiche di protezione e soluzioni tecniche che garantisca la sicurezza degli accessi e dello scambio di informazioni, sia a livello di porta di rete, sia a livello di utenti. I Responsabili Operativi Locali della sicurezza ICT delle singole reti/infrastrutture e sistemi dovran determinare le regole di accesso al proprio dominio, in linea con quanto previsto dalla presente Direttiva e da quelle applicative emanate dal CoTIE. e. Controllo degli accessi al sistema operativo Si elenca di seguito le prescrizioni minime da implementare per un corretto accesso al sistema operativo: l accesso ai sistemi operativi deve essere regolato da funzioni di sicurezza interne che consento di autenticare gli utenti autorizzati in accordo con una definita politica degli accessi; i tentativi di accesso rifiutati dal sistema devo essere registrati, in apposito file di log; tutti gli utenti devo disporre di un User ID e di una password di uso strettamente personale per consentire l identificazione e l autenticazione dell utente o di un token di autenticazione; il sistema di gestione delle password deve essere interattivo e garantire la qualità delle password (alme 6 caratteri alfanumerici con scadenza al più semestrale); le sessioni di lavoro dovran essere chiuse dopo un periodo stabilito di inattività della postazione di lavoro, garantendo la chiusura delle applicazioni aperte e la chiusura del collegamento in rete. f. Controllo degli accessi alle applicazioni ed alle informazioni Ciascun E/D/R è tenuto a implementare su tutte le postazioni/dispositivi il sistema di protezione antivirus fornito dalla Forza Armata. E opportu che ogni applicazione software preveda dei meccanismi di controllo degli accessi alle informazioni gestite in modo da evitare accessi n autorizzati. La restrizione degli accessi alle applicazioni e alle informazioni deve essere definita a partire dalle esigenze lavorative ed operative dell utente. La politica di controllo degli accessi all applicazione deve essere coerente con la politica degli accessi definita dall organizzazione responsabile della gestione dell applicazione. Il risultato di tale operazione deve produrre una mappatura completa tra i diversi utenti previsti dall applicazione e le funzioni richiamabili abilitando ciascun utente alle sole funzioni pertinenti con il ruolo svolto. I sistemi applicativi che tratta informazioni particolarmente sensibili e/o informazioni personali devo prevedere una gestione speciale atta a garantire protezioni aggiuntive, per evitare perdite di informazioni o divulgazione indesiderata di informazioni. g. Requisiti di sicurezza dei sistemi informatici Tutti i sistemi informatici della Forza Armata, devo prevedere requisiti di sicurezza. Tali requisiti devo essere redatti, in linea con quanto previsto dalla presente politica di sicurezza ICT, dall ente committente e/o approvvigionante. I sistemi di interconnessione con i domini della Difesa richiedo una approvazione a livello SMD. In particolare, nella fase di preparazione dei Requisiti Operativi 4 del progetto, devo essere parallelamente redatti i Requisiti di Sicurezza come parte integrante delle specifiche tecniche e funzionali che il sistema informativo da realizzare dovrà soddisfare. 4 Requisiti Operativi Preliminari (ROP), Requisiti Operativi Definitivi (ROD)

18 Le specifiche di sicurezza devo riguardare tutti gli apparati previsti nel progetto e devo interessare anche i servizi manuali e di controllo che sarà necessario attivare per la loro gestione. I requisiti di sicurezza ed i processi devo, quindi, essere integrati sin dalle prime fasi all inter del progetto per la realizzazione o l evoluzione di un sistema informativo. Per i prodotti acquistati, si dovrebbe seguire un formale processo di valutazione e di acquisizione, atto a confermare la piena rispondenza del prodotto riguardo i requisiti di sicurezza richiesti ai fornitori. Per l acquisizione di sistemi o apparati particolarmente critici, è prevista la loro preventiva valutazione e certificazione secondo gli standard ISO/IEC in conformità allo Schema Nazionale per la valutazione e la certificazione della sicurezza di sistemi e prodotti nel settore della teclogia dell informazione. h. Elaborazione corretta nelle applicazioni e impiego di meccanismi crittografici Allo scopo di prevenire errori, perdite, modifiche o cattivo utilizzo delle informazioni, è importante predisporre una validazione delle informazioni in ingresso, al fine di accertarne la rispondenza a quanto previsto dall applicazione e la loro integrità. L obiettivo da perseguire è quello di garantire sempre la riservatezza, l integrità, la disponibilità, l autenticità e il n ripudio dell informazione e a tal fine vengo impiegati diversi meccanismi di protezione che potran variare in base alla sensibilità delle informazioni stesse. Laddove ritenuto necessario, potran essere usati specifici meccanismi crittografici. Le chiavi di cifratura utilizzate devo essere adeguatamente protette da modifiche, accessi n autorizzati, distruzione e perdita, mentre gli eventuali apparati impiegati per la loro generazione, memorizzazione e archiviazione devo essere fisicamente protetti da eventuali azioni fraudolente. i. Sicurezza dei files di sistema Deve essere garantito il controllo degli accessi ai file di sistema ed ai codici sorgente dei programmi la cui proprietà intellettuale è della Forza Armata e comunque laddove ciò sia possibile. Tale accesso deve essere limitato al solo personale tecnico responsabile. L installazione degli aggiornamenti del software e delle applicazioni dovrà essere effettuata esclusivamente da parte degli amministratori e dal personale preposto al fine di minimizzare il rischio di danneggiamento dei suddetti sistemi. j. Sicurezza dei processi di sviluppo e di manutenzione Per garantire la sicurezza dei programmi applicativi e delle informazioni, occorre assicurare lo stretto controllo delle attività di sviluppo e di manutenzione mediante: procedure per il controllo delle modifiche effettuate, valutando l impatto che si avrebbe sulle applicazioni stesse, sull ambiente di elaborazione che ospita l applicazione ed eventuali ripercussioni su sistemi ad essi collegati; revisioni tecniche delle applicazioni in seguito a modifica dell ambiente operativo, ottenute tramite verifiche mirate alla rilevazione di possibili malfunzionamenti; un attento controllo delle attività effettuate sui software applicativi e sull ambiente operativo, tramite il monitoraggio dell attività svolta dal personale tecnico, la supervisione e la verifica dei software affidati a fornitori esterni. k. Gestione delle vulnerabilità tecniche Una efficace attività di aggiornamento presuppone una costante rilevazione delle vulnerabilità presenti sui sistemi impiegati prevedendo tempestive applicazioni di rimedi resi (patch) periodicamente disponibili dalle società fornitrici dei sistemi.

19 CAPO IV GESTIONE DEGLI INCIDENTI DI SICUREZZA INFORMATICA E DELLA CONTINUITA DEI SERVIZI Generalità La necessità di dotare anche l Esercito Italia di una reale capacità di Difesa Cibernetica, impone l avvio della costituzione di una struttura ben definita. L organizzazione per gestire gli incidenti di sicurezza informatica e per garantire la continuità dei servizi di Forza Armata si articola su una rete capillare strutturata su tre livelli, secondo il principio della difesa in profondità : - il Computer Emergency Response Team, a livello centrale ; - i Computer Incident Response Team a livello di baci; - i NUcleo Risposta Incidenti Informatici presso ciascun E/D/R. Modello organizzativo di Sicurezza ICT adottato in ambito Difesa

20 CERT DIFESA CERT AM CERT MM CERT CC SME Uff. Sicurezza e Informazioni CERT EI Livello centrale CIRT CIRT CIRT Strutture a livello territoriale di risposta all incidente... NU. R. I.I. NU. R. I.I. NU. R. I.I. NU. R. I.I. Comando / Ente di Forza Armata Modello organizzativo di Sicurezza ICT adottato in ambito F.A. Il CERT Esercito CERT-Esercito deve essere in grado di rispondere e gestire adeguatamente agli attacchi/incidenti informatici ai sistemi e alle reti della F.A. al pari di quanto già avviene per lo Stato Maggiore della Difesa e in aderenza a quanto previsto dalle direttive SMD-I-013 e SMD-I In generale il CERT-EI ha lo scopo di: - prevenire gli incidenti informatici; - minimizzare l impatto degli incidenti informatici; - supportare le attività di ripristi. La struttura in parola, costituita in se al CoTIE, ha i seguenti compiti di dettaglio: emanare bollettini per una efficace prevenzione in merito a minacce telematiche insistenti sulle reti ICT dell Esercito; individuare e definire gli standard di sicurezza ICT da implementare in Forza Armata; supportare e fornire consulenza in tema di sicurezza e protezione alle reti ICT della Forza Armata e della Difesa; collaborare con i corrispondenti CERT in ambito nazionale, coordinandosi e scambiando informazioni con essi, tenendo informato l Ufficio Sicurezza e 5 Rispettivamente Procedure di risposta agli incidenti informatici riguardanti le reti telematiche della Difesa e Politica di Sicurezza per i Sistemi di Telecomunicazione e Informatici n classificati della Difesa.

Documento Programmatico sulla Sicurezza delle Informazioni. Ver. 1.00

Documento Programmatico sulla Sicurezza delle Informazioni. Ver. 1.00 Documento Programmatico sulla Sicurezza delle Informazioni Ver. 1.00 20 Ottobre 1998 InfoCamere S.C.p.A. Documento Programmatico sulla Sicurezza delle Informazioni Indice 1. Introduzione...3 2. Principi

Dettagli

Allegato 5. Definizione delle procedure operative

Allegato 5. Definizione delle procedure operative Allegato 5 Definizione delle procedure operative 1 Procedura di controllo degli accessi Procedura Descrizione sintetica Politiche di sicurezza di riferimento Descrizione Ruoli e Competenze Ruolo Responsabili

Dettagli

201509241305 Manuale di Gestione MIUR ALLEGATO n. 5 Pag. 1

201509241305 Manuale di Gestione MIUR ALLEGATO n. 5 Pag. 1 Indice dei contenuti GENERALITÀ 1. ASPETTI DI SICUREZZA INERENTI LA FORMAZIONE DEI DOCUMENTI 2. ASPETTI DI SICUREZZA INERENTI LA GESTIONE DEI DOCUMENTI 3. COMPONENTE ORGANIZZATIVA DELLA SICUREZZA 4. COMPONENTE

Dettagli

Allegato 2. Scheda classificazione delle minacce e vulnerabilità

Allegato 2. Scheda classificazione delle minacce e vulnerabilità Allegato 2 Scheda classificazione delle minacce e vulnerabilità LEGENDA In questa tabella si classificano le minacce per tipologia e si indica l impatto di esse sulle seguenti tre caratteristiche delle

Dettagli

PROTOCOLLO INTERNO PER LA PREVENZIONE DEI REATI INFORMATICI Approvato. Data. Rev C.d.A 02/01/2012

PROTOCOLLO INTERNO PER LA PREVENZIONE DEI REATI INFORMATICI Approvato. Data. Rev C.d.A 02/01/2012 . PROT. 8 Pag 1/7 PROTOCOLLO INTERNO PER LA PREVENZIONE DEI REATI E DEL TRATTAMENTO ILLECITO DEI DATI, PER LA PREVENZIONE DEI DELITTI IN MATERIA DI VIOLAZIONE DEL DIRITTO D AUTORE E DEI DELITTI CONTRO

Dettagli

Regione Calabria Azienda Sanitaria Provinciale Cosenza UOC AFFARI GENERALI

Regione Calabria Azienda Sanitaria Provinciale Cosenza UOC AFFARI GENERALI REGOLAMENTO CONCERNENTE LA NOMINA E LE FUNZIONI DELL AMMINISTRATORE DI SISTEMA E GLI ADEMPIMENTI IN MATERIA DI OSSERVANZA DELLE MISURE DI SICUREZZA PRIVACY 1 ARTICOLO 1 - SCOPO DEL REGOLAMENTO Il presente

Dettagli

Documento Programmatico sulla Sicurezza Parte generale

Documento Programmatico sulla Sicurezza Parte generale Documento Programmatico sulla Sicurezza Parte generale SEZIONE A TRATTAMENTO DI DATI CON L AUSILIO DI STRUMENTI INFORMATICI Al fine di garantire la riservatezza e l integrità dei dati personali, sensibili

Dettagli

COMUNE DI NONE Provincia di Torino

COMUNE DI NONE Provincia di Torino COMUNE DI NONE Provincia di Torino REGOLAMENTO PER L INSTALLAZIONE E L UTILIZZO D IMPIANTI DI VIDEOSORVEGLIANZA 1 INDICE Articolo 1 Articolo 2 Articolo 3 Articolo 4 Articolo 5 Articolo 6 Articolo 7 Articolo

Dettagli

Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS)

Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS) Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS) (Codice in materia di protezione dei dati personali art. 34 e Allegato B, regola 19, del d.lg. 30 giugno 2003, n. 196) Premessa

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

Approvato con deliberazione della Giunta comunale n. / in data / /

Approvato con deliberazione della Giunta comunale n. / in data / / REGOLAMENTO PER L UTILIZZO DEGLI STRUMENTI INFORMATICI E TELEMATICI Approvato con deliberazione della Giunta comunale n. / in data / / INDICE CAPO I FINALITA - AMBITO DI APPLICAZIONE - PRINCIPI GENERALI

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

CODICE DI COMPORTAMENTO

CODICE DI COMPORTAMENTO CODICE DI COMPORTAMENTO Per il personale coinvolto nelle attività di distribuzione e misura del gas naturale Rev. 01 del 10.06.2015 Il presente Codice di Comportamento è stato elaborato per assicurare

Dettagli

UNIVERSITÀ DEGLI STUDI DI FERRARA. Area Informatica

UNIVERSITÀ DEGLI STUDI DI FERRARA. Area Informatica UNIVERSITÀ DEGLI STUDI DI FERRARA Area Informatica REGOLAMENTO DI ACCESSO AI SERVIZI INFORMATICI E DI RETE Deliberato dal Consiglio di Amministrazione 25 Settembre 2007 pt. 02/04 O.d.g. Indice Art. 1 Oggetto

Dettagli

1. Conoscenza dei dati trattati. 2. Conoscenza degli strumenti utilizzati. 3. Conoscenza del proprio ruolo all interno della struttura

1. Conoscenza dei dati trattati. 2. Conoscenza degli strumenti utilizzati. 3. Conoscenza del proprio ruolo all interno della struttura Corso 196/03 per i Responsabili e gli Incaricati del Trattamento Dati Percorso Formativo per l Incaricato del Trattamento Dati: Pre-requisiti: 1. Conoscenza dei dati trattati 2. Conoscenza degli strumenti

Dettagli

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it INFORMATION SECURITY I SERVIZI DI CONSULENZA. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano www.axxea.it info@axxea.it INDICE 1. SICUREZZA DELLE INFORMAZIONI... 3 1.1 ANALISI DELLO STATO DELL ARTE...

Dettagli

CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING

CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING Il servizio, fornito attraverso macchine server messe

Dettagli

CODICE DI COMPORTAMENTO. Per il Personale Coinvolto nelle Attività di Trasporto, Stoccaggio e Distribuzione del Gas Naturale

CODICE DI COMPORTAMENTO. Per il Personale Coinvolto nelle Attività di Trasporto, Stoccaggio e Distribuzione del Gas Naturale 1111 CODICE DI COMPORTAMENTO Per il Personale Coinvolto nelle Attività di Trasporto, Stoccaggio e Distribuzione del Gas Naturale INDICE 1 INTRODUZIONE...4 La separazione funzionale nel settore energetico...

Dettagli

ALLEGATO N. 4. Premessa

ALLEGATO N. 4. Premessa 1 ALLEGATO N. 4 PIANO DI SICUREZZA RELATIVO ALLA FORMAZIONE, ALLA GESTIONE, ALLA TRASMISSIONE, ALL INTERSCAMBIO, ALL ACCESSO, ALLA CONSERVAZIONE DEI DOCUMENTI INFORMATICI Premessa Il presente piano di

Dettagli

Ministero della Pubblica Istruzione

Ministero della Pubblica Istruzione Ministero della Pubblica Istruzione POLITICHE DI UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA PER GLI UTENTI STANDARD DEL DOMINIO istruzione.it 1 INTRODUZIONE La presente politica disciplina l utilizzo del

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

BOZZA D.P.S. Documento Programmatico sulla Sicurezza. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P.

BOZZA D.P.S. Documento Programmatico sulla Sicurezza. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P. BOZZA D.P.S. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P.iva Documento Programmatico sulla Sicurezza Indice finalità del documento inventario dei beni in dotazione

Dettagli

Comune di Nola Provincia di Napoli. Regolamento di gestione utenti e profili di autorizzazione per trattamenti elettronici

Comune di Nola Provincia di Napoli. Regolamento di gestione utenti e profili di autorizzazione per trattamenti elettronici Comune di Nola Provincia di Napoli Regolamento di gestione utenti e profili di autorizzazione per trattamenti elettronici Sommario Articolo I. Scopo...2 Articolo II. Riferimenti...2 Articolo III. Definizioni

Dettagli

Regolamento per l installazione e l utilizzo degli impianti di videosorveglianza del Comune di Lavis

Regolamento per l installazione e l utilizzo degli impianti di videosorveglianza del Comune di Lavis Comune di PROVINCIA DI TRENTO REGOLAMENTI COMUNALI Regolamento per l installazione e l utilizzo degli impianti di videosorveglianza del Comune di Approvato con deliberazione del Consiglio comunale n. 13

Dettagli

E. Struttura e organizzazione del sistema

E. Struttura e organizzazione del sistema E. Struttura e organizzazione del sistema E. Struttura e organizzazione del sistema E.1 Sistema di gestione L azienda dovrebbe strutturare il SGSL seguendo i contenuti espressi nel presente documento,

Dettagli

14/06/2004. Modalità controllo Verifica in campo Periodicità controllo Annuale. Tipologia Misura Fisica Data ultimo aggiornamento 15/12/2005

14/06/2004. Modalità controllo Verifica in campo Periodicità controllo Annuale. Tipologia Misura Fisica Data ultimo aggiornamento 15/12/2005 ID Misura M-001 Compilata Boscolo Paolo Data da Descrizione sintetica Impianto di allarme Gli spazi interessati alla misura in oggetto sono dotati di impianto di allarme in grado di rilevare e segnalare

Dettagli

Comune di Centallo REGOLAMENTO PER L INSTALLAZIONE E L UTILIZZO D IMPIANTI DI VIDEOSORVEGLIANZA

Comune di Centallo REGOLAMENTO PER L INSTALLAZIONE E L UTILIZZO D IMPIANTI DI VIDEOSORVEGLIANZA Comune di Centallo REGOLAMENTO PER L INSTALLAZIONE E L UTILIZZO D IMPIANTI DI VIDEOSORVEGLIANZA APPROVATO CON DELIBERAZIONE DI CONSIGLIO COMUNALE N. 33 DEL 26.07.2006 1 Comune di Centallo REGOLAMENTO PER

Dettagli

Comune di San Martino Buon Albergo Provincia di Verona

Comune di San Martino Buon Albergo Provincia di Verona Comune di San Martino Buon Albergo Provincia di Verona REGOLAMENTO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (Approvato con deliberazione di Consiglio Comunale n. 32 del 12/05/2009) Sommario Art. 1.

Dettagli

DISCIPLINARE INTERNO PER UTILIZZO INTERNET E POSTA ELETTRONICA

DISCIPLINARE INTERNO PER UTILIZZO INTERNET E POSTA ELETTRONICA DISCIPLINARE INTERNO PER UTILIZZO INTERNET E POSTA ELETTRONICA 1 INTRODUZIONE Il presente disciplinare interno sostituisce il precedente Regolamento Aziendale Utilizzo Internet e recepisce le indicazioni

Dettagli

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine Università degli Studi di Udine Modalità e limiti di utilizzo della rete telematica dell Università di Udine Gruppo di lavoro istituito il 16 aprile 2004 con decreto rettorale n. 281 Pier Luca Montessoro,

Dettagli

Roma, ottobre 2013. Ai Responsabili Regionali pro tempore Ai Responsabili di Zona pro tempore

Roma, ottobre 2013. Ai Responsabili Regionali pro tempore Ai Responsabili di Zona pro tempore Roma, ottobre 2013 Ai Responsabili Regionali pro tempore Ai Responsabili di Zona pro tempore OGGETTO: NOMINA DEI RESPONSABILI DEL TRATTAMENTO DEI DATI L AGESCI Associazione Guide e Scouts Cattolici Italiani,

Dettagli

PARTE SPECIALE Sezione II. Reati informatici

PARTE SPECIALE Sezione II. Reati informatici PARTE SPECIALE Sezione II Reati informatici PARTE SPECIALE Sezione II Sommario 1.Le fattispecie dei Reati Presupposto (Art. 24 bis del D. Lgs. 231/01)... 3 2.Processi Sensibili... 5 3.Regole generali...

Dettagli

Disposizioni in materia di trattamento dei dati personali.

Disposizioni in materia di trattamento dei dati personali. Privacy - Ordinamento degli uffici e dei servizi comunali: indirizzi in materia di trattamento dei dati personali esistenti nelle banche dati del Comune. (Delibera G.C. n. 919 del 28.12.2006) Disposizioni

Dettagli

COMUNE DI RENATE Provincia di Monza e Brianza

COMUNE DI RENATE Provincia di Monza e Brianza REGOLAMENTO COMUNALE PER L INSTALLAZIONE E LA TENUTA DEGLI IMPIANTI DI VIDEOSORVEGLIANZA Approvato dal Consiglio Comunale con delibera n. 50 del 25/11/2009 versione 3 03/11/2009 REGOLAMENTO PER L INSTALLAZIONE

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

COMUNE DI RIVELLO. Provincia di Potenza REGOLAMENTO PER L UTILIZZO DEGLI IMPIANTI DI VIDEOSORVEGLIANZA DEL COMUNE DI RIVELLO.

COMUNE DI RIVELLO. Provincia di Potenza REGOLAMENTO PER L UTILIZZO DEGLI IMPIANTI DI VIDEOSORVEGLIANZA DEL COMUNE DI RIVELLO. COMUNE DI RIVELLO Provincia di Potenza REGOLAMENTO PER L UTILIZZO DEGLI IMPIANTI DI VIDEOSORVEGLIANZA DEL COMUNE DI RIVELLO. Approvato con deliberazione di C.C. n. 24/2013 INDICE CAPO I PRINCIPI GENERALI

Dettagli

PROGETTO TECNICO SISTEMA DI GESTIONE DELLA SICUREZZA IN CONFORMITÀ ALLA NORMA. BS OHSAS 18001 (ed. 2007) 1/10 progetto Tecnico OHSAS 18001

PROGETTO TECNICO SISTEMA DI GESTIONE DELLA SICUREZZA IN CONFORMITÀ ALLA NORMA. BS OHSAS 18001 (ed. 2007) 1/10 progetto Tecnico OHSAS 18001 PROGETTO TECNICO SISTEMA DI GESTIONE DELLA SICUREZZA IN CONFORMITÀ ALLA NORMA BS OHSAS 18001 (ed. 2007) Rev. 0 del 13/01/09 1/10 progetto Tecnico OHSAS 18001 Premessa La norma OHSAS 18001 rappresenta uno

Dettagli

REGOLAMENTO SULL USO DI INTERNET E DELLA POSTA ELETTRONICA

REGOLAMENTO SULL USO DI INTERNET E DELLA POSTA ELETTRONICA Istituto Statale di Istruzione Secondaria Superiore "LUDOVICO GEYMONAT" http://www.itisgeymonat.va.it - email: info@itisgeymonat.va.it Via Gramsci 1-21049 TRADATE (VA) Cod.Fisc. 95010660124 - Tel.0331/842371

Dettagli

Allegato 8 MISURE MINIME ED IDONEE

Allegato 8 MISURE MINIME ED IDONEE Allegato 8 MISURE MINIME ED IDONEE SOMMARIO 1 POLITICHE DELLA SICUREZZA INFORMATICA...3 2 ORGANIZZAZIONE PER LA SICUREZZA...3 3 SICUREZZA DEL PERSONALE...3 4 SICUREZZA MATERIALE E AMBIENTALE...4 5 GESTIONE

Dettagli

REGOLAMENTO PER L UTILIZZO DEGLI IMPIANTI DI VIDEOSORVEGLIANZA

REGOLAMENTO PER L UTILIZZO DEGLI IMPIANTI DI VIDEOSORVEGLIANZA COMUNE DI ARENZANO Provincia di Genova REGOLAMENTO PER L UTILIZZO DEGLI IMPIANTI DI VIDEOSORVEGLIANZA Approvato con deliberazione del Consiglio comunale n. 22 del 26/02/2015 Indice Art. 1 Oggetto e norme

Dettagli

CODICE DI COMPORTAMENTO

CODICE DI COMPORTAMENTO CODICE DI COMPORTAMENTO Per il personale coinvolto nelle attività di distribuzione dell energia elettrica e del gas naturale Rev. 03 del 21/12/2015 Il presente Codice di Comportamento è stato elaborato

Dettagli

CHECK LIST PER LE VERIFICHE SULL OPERATO DEGLI AMMINISTRATORI DI SISTEMA

CHECK LIST PER LE VERIFICHE SULL OPERATO DEGLI AMMINISTRATORI DI SISTEMA CHECK LIST PER LE VERIFICHE SULL OPERATO DEGLI AMMINISTRATORI DI SISTEMA Una proposta per rispondere alla misura 4.4 (o e ) del Provvedimento del Garante del 28 novembre 2008. E' possibile dare il proprio

Dettagli

Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy

Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy Obblighi di sicurezza e relative sanzioni Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy L adozione delle Misure Minime di Sicurezza è obbligatorio per tutti coloro che effettuano trattamenti

Dettagli

Regolamento al trattamento dati per la piattaforma "Sofia" e Misure di Sicurezza adottate

Regolamento al trattamento dati per la piattaforma Sofia e Misure di Sicurezza adottate Regolamento al trattamento dati per la piattaforma "Sofia" e Pagina 1 di 10 INDICE 1. Definizioni 3 2. Individuazione dei tipi di dati e di operazioni eseguibili 4 3. Titolare del trattamento, oneri informativi

Dettagli

5.1.1 Politica per la sicurezza delle informazioni

5.1.1 Politica per la sicurezza delle informazioni Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.

Dettagli

Criteri per la partecipazione degli operatori ai mercati Approvati dal Consiglio di Amministrazione di Borsa Italiana il 23 Novembre 2004

Criteri per la partecipazione degli operatori ai mercati Approvati dal Consiglio di Amministrazione di Borsa Italiana il 23 Novembre 2004 Criteri per la partecipazione degli operatori ai mercati Approvati dal Consiglio di Amministrazione di Borsa Italiana il 23 Novembre 2004 Gli articoli 3.1.3 e 3.2.1 del Regolamento dei Mercati, nonché

Dettagli

NORME ATTUATIVE. del Regolamento di Utilizzo dei Servizi Informatici e di Rete Università degli Studi di Brescia

NORME ATTUATIVE. del Regolamento di Utilizzo dei Servizi Informatici e di Rete Università degli Studi di Brescia NORME ATTUATIVE del Regolamento di Utilizzo dei Servizi Informatici e di Rete Università degli Studi di Brescia Sommario Art. 1 - Oggetto e ambito di applicazione... 2 Art. 2 - Definizioni... 2 Art. 3

Dettagli

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy COMUNICATO Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy Nel secondo semestre del 2011 l Agenzia delle Entrate avvierà nuovi e più articolati controlli sul rispetto

Dettagli

COMUNE DI BRESCELLO PROVINCIA DI REGGIO EMILIA

COMUNE DI BRESCELLO PROVINCIA DI REGGIO EMILIA COMUNE DI BRESCELLO PROVINCIA DI REGGIO EMILIA PRE REGOLAMENTO PER L'UTILIZZO DEGLI STRUMENTI INFORMATICI E TELEMATICI MESSA ART. 1 Caratteri generali Il presente regolamento viene emanato in base al provvedimento

Dettagli

disciplinare per l utilizzo degli strumenti informatici

disciplinare per l utilizzo degli strumenti informatici Direzione Generale Direzione Centrale Organizzazione Direzione Centrale Risorse Umane Direzione Centrale Sistemi Informativi e Tecnologici Roma, 03/12/2012 Circolare n. 135 Ai Dirigenti centrali e periferici

Dettagli

UNIVERSITA' DEGLI STUDI DI PARMA

UNIVERSITA' DEGLI STUDI DI PARMA I II REGOLAMENTO DI ACCESSO AI SERVIZI DI RETE III NORME DI ATTUAZIONE DEL REGOLAMENTO DI ACCESSO AI SERVIZI DI RETE DIRETTIVE PER LA SICUREZZA DEI SERVIZI DI RETE SOMMARIO PREFAZIONE 3 PROFILO DI RISCHIO:

Dettagli

REGOLAMENTO SULL USO DI INTERNET E DELLA POSTA ELETTRONICA

REGOLAMENTO SULL USO DI INTERNET E DELLA POSTA ELETTRONICA MINISTERO DELL ISTRUZIONE, DELL UNIVERSITÀ E DELLA RICERCA ISTITUTO COMPRENSIVO STATALE Martino Longhi di VIGGIÙ Via Indipendenza 18, Loc. Baraggia 21059 VIGGIU (VA) Tel. 0332.486460 Fax 0332.488860 C.F.

Dettagli

CODICE DI COMPORTAMENTO PER IL PERSONALE COINVOLTO NELL ATTIVITA DI DISTRIBUZIONE E MISURA DEL GAS NATURALE. ACSM-AGAM Reti Gas Acqua S.r.l.

CODICE DI COMPORTAMENTO PER IL PERSONALE COINVOLTO NELL ATTIVITA DI DISTRIBUZIONE E MISURA DEL GAS NATURALE. ACSM-AGAM Reti Gas Acqua S.r.l. CODICE DI COMPORTAMENTO PER IL PERSONALE COINVOLTO NELL ATTIVITA DI DISTRIBUZIONE E MISURA DEL GAS NATURALE ACSM-AGAM Reti Gas Acqua S.r.l. Approvato dal CdA del 15 ottobre 2010 2 INDICE Preambolo...4

Dettagli

CODI CE DI COMPORTAMENTO PER IL PERSONALE COINVOLTO NELLE ATTIVITA DI DISTRIBUZIONE E MISURA DEL GAS NATURALE

CODI CE DI COMPORTAMENTO PER IL PERSONALE COINVOLTO NELLE ATTIVITA DI DISTRIBUZIONE E MISURA DEL GAS NATURALE CODI CE DI COMPORTAMENTO PER IL PERSONALE COINVOLTO NELLE ATTIVITA DI DISTRIBUZIONE E MISURA DEL GAS NATURALE INDICE 1. INTRODUZIONE... 3 1.1 La separazione funzionale nel settore energetico... 3 1.2 Il

Dettagli

1.1 - Crittografia sulla infrastruttura trasmissiva tra le stazioni remote Rilheva il centro di telecontrollo

1.1 - Crittografia sulla infrastruttura trasmissiva tra le stazioni remote Rilheva il centro di telecontrollo SISTEMA DI TELECONTROLLO RILHEVA GPRS (CARATTERISTICHE DEL VETTORE GPRS E SICUREZZE ADOTTATE) Abstract: Sicurezza del Sistema di Telecontrollo Rilheva Xeo4 ha progettato e sviluppato il sistema di telecontrollo

Dettagli

CONSIGLIO DELL'ORDINE DEGLI AVVOCATI DI FROSINONE

CONSIGLIO DELL'ORDINE DEGLI AVVOCATI DI FROSINONE CONSIGLIO DELL'ORDINE DEGLI AVVOCATI DI FROSINONE DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEGLI STUDI LEGALI (DPS) Redatto ai sensi e per gli effetti dell art. 34, c. 1, lett. g) del D.Lgs 196/2003 e del

Dettagli

Il Documento Programmatico sulla Sicurezza in base Normativa sulla privacy applicabile agli studi professionali (D. Lgs 196/03)

Il Documento Programmatico sulla Sicurezza in base Normativa sulla privacy applicabile agli studi professionali (D. Lgs 196/03) Il Documento Programmatico sulla Sicurezza in base Normativa sulla privacy applicabile agli studi professionali (D. Lgs 196/03) A cura di Gianfranco Gargani A seguito delle diverse richieste degli iscritti

Dettagli

PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI

PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI INDICE B.1 DESTINATARI DELLA PARTE SPECIALE E PRINCIPI GENARALI DI COMPORTAMENTO... 3 B.2 AREE POTENZIALMENTE A RISCHIO E PRINCIPI DI

Dettagli

REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA NELLE AREE DI COMPETENZA DELLA COMUNITA VALSUGANA E TESINO

REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA NELLE AREE DI COMPETENZA DELLA COMUNITA VALSUGANA E TESINO REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA NELLE AREE DI COMPETENZA DELLA COMUNITA VALSUGANA E TESINO Approvato con deliberazione dell Assemblea della Comunità n. 5 del 10.02.2014 1 REGOLAMENTO

Dettagli

REGOLAMENTO PER LA DISCIPLINA DELL ATTIVITA DI VIDEOSORVEGLIANZA CAPO I DISPOSIZIONI GENERALI

REGOLAMENTO PER LA DISCIPLINA DELL ATTIVITA DI VIDEOSORVEGLIANZA CAPO I DISPOSIZIONI GENERALI REGOLAMENTO PER LA DISCIPLINA DELL ATTIVITA DI VIDEOSORVEGLIANZA CAPO I DISPOSIZIONI GENERALI ART. 1 OGGETTO Oggetto del presente regolamento è la disciplina del trattamento dei dati personali effettuato

Dettagli

I dati : patrimonio aziendale da proteggere

I dati : patrimonio aziendale da proteggere Premessa Per chi lavora nell informatica da circa 30 anni, il tema della sicurezza è sempre stato un punto fondamentale nella progettazione dei sistemi informativi. Negli ultimi anni il tema della sicurezza

Dettagli

ORGANISMO DI VIGILANZA

ORGANISMO DI VIGILANZA ALLEGATO 3 ORGANISMO DI VIGILANZA 12 1. Il decreto 231/01 e l istituzione dell OdV Come noto il Decreto 231/01 ha introdotto una nuova forma di responsabilità delle persone giuridiche per alcuni tipi di

Dettagli

Comunicazione informativa sul Modello 231 e Codice Etico. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO AI SENSI DEL D.Lgs. 8 GIUGNO 2001 N.

Comunicazione informativa sul Modello 231 e Codice Etico. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO AI SENSI DEL D.Lgs. 8 GIUGNO 2001 N. Comunicazione informativa sul Modello 231 e Codice Etico MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO AI SENSI DEL D.Lgs. 8 GIUGNO 2001 N. 231 MODELLO DI ORGANIZZAZIONE Con la disciplina dettata dal

Dettagli

COMUNE DI ROSSANO VENETO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI

COMUNE DI ROSSANO VENETO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI COMUNE DI ROSSANO VENETO SERVIZI INFORMATICI DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI Allegato A) INDICE 1 INTRODUZIONE 2 ASPETTI GENERALI 2.1 Contenuti 2.2 Responsabilità 2.3 Applicabilità

Dettagli

La Rete Unitaria delle P.A.:

La Rete Unitaria delle P.A.: Centro Tecnico Presidenza del Consiglio dei Ministri La Rete Unitaria delle P.A.:.: Organizzazione e Gestione della Sicurezza Massimiliano Pucciarelli segreteria tecnica direzione m.pucciarelli@ct.rupa.it

Dettagli

MANSIONARIO PRIVACY. 1 Generalità 1. 2 Incaricati 3. 3 Incaricato all Amministrazione del Sistema 5. 4 Incaricato alla Custodia della Parole Chiave 6

MANSIONARIO PRIVACY. 1 Generalità 1. 2 Incaricati 3. 3 Incaricato all Amministrazione del Sistema 5. 4 Incaricato alla Custodia della Parole Chiave 6 1 Generalità 1 2 Incaricati 3 3 all Amministrazione del Sistema 5 4 alla Custodia della Parole Chiave 6 5 al Salvataggio dei Dati 7 6 alla Custodia della Sede Operativa 8 A Elenco degli Incaricati 9 B

Dettagli

REGOLAMENTO OPERATIVO PER L UTILIZZO DELL IMPIANTO ESTERNO DI VIDEOSORVEGLIANZA

REGOLAMENTO OPERATIVO PER L UTILIZZO DELL IMPIANTO ESTERNO DI VIDEOSORVEGLIANZA REGOLAMENTO OPERATIVO PER L UTILIZZO DELL IMPIANTO ESTERNO DI VIDEOSORVEGLIANZA Approvato con delibera consiglio comunale n. 175 del 22/11/2006 Modificato con delibera consiglio comunale n. 36 DEL 14/03/2013

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

CITTA DI SAN DONATO MILANESE

CITTA DI SAN DONATO MILANESE CITTA DI SAN DONATO MILANESE PROVINCIA DI MILANO REGOLAMENTO PER L INSTALLAZIONE E L UTILIZZO DELL IMPIANTO DI VIDEOSORVEGLIANZA DEL TERRITORIO Approvato con deliberazione di Consiglio Comunale n. 22 del

Dettagli

COMUNE DI BUSSERO Provincia di Milano

COMUNE DI BUSSERO Provincia di Milano COMUNE DI BUSSERO Provincia di Milano REGOLAMENTO PER L INSTALLAZIONE E L UTILIZZO DI IMPIANTI DI VIDEOSORVEGLIANZA Approvato con deliberazione di Consiglio Comunale n. 61 del 30.11.2004 REGOLAMENTO PER

Dettagli

ORGANIZZAZIONE DELLA SICUREZZA

ORGANIZZAZIONE DELLA SICUREZZA ORGANIZZAZIONE DELLA SICUREZZA Datore di lavoro (Rettore) Servizio di Prevenzione e Protezione Sorveglianza sanitaria Servizio di Radioprotezione Dirigenti RLS Preposti Lavoratori DEFINIZIONI: 1. DATORE

Dettagli

Città di MOLFETTA PROVINCIA DI BARI

Città di MOLFETTA PROVINCIA DI BARI N. Generale 812 Città di MOLFETTA PROVINCIA DI BARI Settore Affari Generali Iscritta al n 114 del Registro Determinazioni in data 08/06/2012 Oggetto: presa d atto dell offerta pervenuta dalla società Telnet

Dettagli

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2015

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2015 DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2015 Approvato dall Amministratore Unico di Metro con determina n. 5 del 9 marzo 2015 1 Disciplinare tecnico 2015 in materia di misure

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3. Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente documento contiene un

Dettagli

Vista la deliberazione del Consiglio Direttivo dell Autorità d Informazione Finanziaria del 27 ottobre 2011 EMANA. Premessa

Vista la deliberazione del Consiglio Direttivo dell Autorità d Informazione Finanziaria del 27 ottobre 2011 EMANA. Premessa ISTRUZIONE N.1 IN MATERIA DI ORGANIZZAZIONE, PROCEDURE E CONTROLLI INTERNI VOLTI A PREVENIRE L UTILIZZO DEGLI ENTI VIGILATI A FINI DI RICICLAGGIO E DI FINANZIAMENTO DEL TERRORISMO Il Presidente dell Autorità

Dettagli

Spett. Le FIAVET Via Ravenna, 8 00161 Roma

Spett. Le FIAVET Via Ravenna, 8 00161 Roma Pomigliano D Arco, 24/01/2005 Spett. Le FIAVET Via Ravenna, 8 00161 Roma Alla Cortese Attenzione del Segretario Generale dott. Stefano Landi Oggetto: Proposta di convenzione per la fornitura di consulenza

Dettagli

Allegato A. Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI

Allegato A. Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI 66 Allegato A Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI Gli organi aziendali assumono un ruolo fondamentale per la definizione di

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

MANUALE DELLA QUALITÀ Pag. 1 di 10

MANUALE DELLA QUALITÀ Pag. 1 di 10 MANUALE DELLA QUALITÀ Pag. 1 di 10 INDICE IL SISTEMA DI GESTIONE DELLA QUALITÀ Requisiti generali Responsabilità Struttura del sistema documentale e requisiti relativi alla documentazione Struttura dei

Dettagli

COMUNE DI CARUGATE Provincia di Milano REGOLAMENTO PER L INSTALLAZIONE E L UTILIZZO DI IMPIANTI DI VIDEOSORVEGLIANZA DEL TERRITORIO

COMUNE DI CARUGATE Provincia di Milano REGOLAMENTO PER L INSTALLAZIONE E L UTILIZZO DI IMPIANTI DI VIDEOSORVEGLIANZA DEL TERRITORIO COMUNE DI CARUGATE Provincia di Milano REGOLAMENTO PER L INSTALLAZIONE E L UTILIZZO DI IMPIANTI DI VIDEOSORVEGLIANZA DEL TERRITORIO Adottato dal C.C. con delibera n. 57 del 28/07/2008 REGOLAMENTO PER L

Dettagli

Comune di Nola Provincia di Napoli. Disciplinare interno per l utilizzo di Internet e posta elettronica da parte dei dipendenti

Comune di Nola Provincia di Napoli. Disciplinare interno per l utilizzo di Internet e posta elettronica da parte dei dipendenti Comune di Nola Provincia di Napoli Disciplinare interno per l utilizzo di Internet e posta elettronica da parte dei dipendenti Sommario 1. Oggetto... 2 2. Modalità di utilizzo delle postazioni di lavoro...

Dettagli

A.O.U. Policlinico G. Martino Messina

A.O.U. Policlinico G. Martino Messina A.O.U. Policlinico G. Martino Messina Regolamento della comunicazione Web e Multicanale. Uso Confidenziale - 31/05/2010 pag 1 di 12 Indice Regolamento della comunicazione Web e Multicanale...1 Art. 1 Scopi

Dettagli

Regolamento per l utilizzo degli impianti di videosorveglianza

Regolamento per l utilizzo degli impianti di videosorveglianza COMUNE DI ESCOLCA PROVINCIA DI CAGLIARI via Dante n 2-08030 Escolca (CA) Tel.0782-808303 Fax 0782-808516 Partita I.V.A. 00814010914 Codice Fiscale 81000170910 Regolamento per l utilizzo degli impianti

Dettagli

brugherio (mb) POLITICA AZIENDALE

brugherio (mb) POLITICA AZIENDALE brugherio (mb) POLITICA AZIENDALE Brugherio, 20 gennaio 2015 piomboleghe srl via eratostene, 1-20861 brugherio (mb) tel. 039289561, fax. 039880244 info@piomboleghe.it www.piomboleghe.it cap. soc. 1.300.000,00

Dettagli

REGOLAMENTO SITO INTERNET

REGOLAMENTO SITO INTERNET INDICE 1. Introduzione pag. 2 2. Responsabilità pag. 3 2.1 Amministratore del sito internet e Responsabile dell accessibilità pag. 3 2.2 Referente per la validazione pag. 4 2.3 Referente di Unità Operativa

Dettagli

Giunta regionale Gabinetto del Presidente della Giunta

Giunta regionale Gabinetto del Presidente della Giunta Giunta regionale Gabinetto del Presidente della Giunta Servizio Affari Istituzionali e delle Autonomie Locali TIPO ANNO NUMERO Reg. 2007 del 27 giugno 2007 Alla Comunità Montana.. A mezzo fax OGGETTO:

Dettagli

Città di Potenza Unità di Direzione Polizia Municipale --- * * * * * ---

Città di Potenza Unità di Direzione Polizia Municipale --- * * * * * --- Città di Potenza Unità di Direzione Polizia Municipale --- * * * * * --- REGOLAMENTO PER L INSTALLAZIONE E L UTILIZZO DI IMPIANTI DI VIDEOSORVEGLIANZA NEL TERRITORIO COMUNALE (approvato con Delibera di

Dettagli

SISTEMA DI GESTIONE PER LA QUALITA 1. REQUISITI GENERALI...2

SISTEMA DI GESTIONE PER LA QUALITA 1. REQUISITI GENERALI...2 Pagina 1 di 10 INDICE 1. REQUISITI GENERALI...2 2. REQUISITI RELATIVI ALLA DOCUMENTAZIONE...4 2.1. QUALITÀ...4 2.2. TENUTA SOTTO CONTROLLO DEI DOCUMENTI...5 2.3. TENUTA SOTTO CONTROLLO DELLE REGISTRAZIONI...9

Dettagli

CARTA DELLA SICUREZZA INFORMATICA

CARTA DELLA SICUREZZA INFORMATICA CARTA DELLA SICUREZZA INFORMATICA Premessa L Istituto Nazionale di Fisica Nucleare (INFN) è un ente pubblico nazionale di ricerca a carattere non strumentale con autonomia scientifica, organizzativa, finanziaria

Dettagli

COMUNE DI MOGORO Provincia di Oristano

COMUNE DI MOGORO Provincia di Oristano COMUNE DI MOGORO Provincia di Oristano REGOLAMENTO VIDEOSORVEGLIANZA EDIFICI ED AREE PUBBLICHE Allegato alla deliberazione C.C. n. 29 del 09.06.2011 1/5 Articolo 1 - Definizioni 1. Ai fini del presente

Dettagli

Modello di Organizzazione, Gestione e Controllo ex D. Lgs. 231/2001. Parte 01 PRESENTAZIONE DEL MODELLO

Modello di Organizzazione, Gestione e Controllo ex D. Lgs. 231/2001. Parte 01 PRESENTAZIONE DEL MODELLO Parte 01 PRESENTAZIONE DEL MODELLO 1 01.00 PREMESSA Recordati è un gruppo farmaceutico europeo fondato nel 1926, quotato alla Borsa Italiana, che si dedica alla ricerca, allo sviluppo, alla produzione

Dettagli

Il nuovo codice in materia di protezione dei dati personali

Il nuovo codice in materia di protezione dei dati personali Il nuovo codice in materia di protezione dei dati personali Si chiude il capitolo, dopo sette anni dalla sua emanazione, della legge 675 sulla privacy. Questa viene sostituita da un testo di legge unico

Dettagli

DECRETI PRESIDENZIALI

DECRETI PRESIDENZIALI DECRETI PRESIDENZIALI DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 24 gennaio 2013. Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale. IL PRESIDENTE DEL

Dettagli

Servizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio

Servizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio Servizio Organizzazione e Sistemi Informativi Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio Marco Tempra Campione d Italia, 18 giugno 2012 Banca Popolare di Sondrio Fondata nel

Dettagli

LISTA DI RISCONTRO PER LE VERIFICHE ISPETTIVE DEL SGS

LISTA DI RISCONTRO PER LE VERIFICHE ISPETTIVE DEL SGS LISTA DI RISCONTRO PER LE VERIFICHE ISPETTIVE DEL IN STABILIMENTI SEMPLICI E AD ELEVATO LIVELLO DI STANDARDIZZAZIONE 1. Documento sulla politica di prevenzione, struttura del e sua integrazione con la

Dettagli

M inist e ro della Pubblica Istruz io n e

M inist e ro della Pubblica Istruz io n e Linee guida per il TRATTAMENTO E GESTIONE DEI DATI PERSONALI Articolo 1 Oggetto e ambito di applicazione e principi di carattere generale 1. Il presente documento disciplina le modalità di trattamento

Dettagli

DigitPA. VISTI gli articoli 16 e 16 bis del decreto Legge 29 novembre 2008, n. 185 convertito con modificazioni dalla Legge 28 gennaio 2009 n.

DigitPA. VISTI gli articoli 16 e 16 bis del decreto Legge 29 novembre 2008, n. 185 convertito con modificazioni dalla Legge 28 gennaio 2009 n. DigitPA VISTO l art. 6, comma 1 bis, del decreto legislativo 7 marzo 2005 n. 82 (indicato in seguito con l acronimo CAD), come modificato dal decreto legislativo 30 dicembre 2010 n. 235; VISTI gli articoli

Dettagli

Eventuale controllo del Comando a seguito della presentazione dell attestazione di rinnovo periodico presentata oltre il termine stabilito

Eventuale controllo del Comando a seguito della presentazione dell attestazione di rinnovo periodico presentata oltre il termine stabilito Prevenzione incendi: il Ministero dell Interno ha emanato chiarimenti in merito all applicazione del regolamento di semplificazione antincendio (lettera circolare del 18 aprile 2012 prot. n. 0005555) Canale:

Dettagli

BDO S.p.A. REGOLAMENTO OPERATIVO ORGANISMO DI VIGILANZA. ai sensi del Decreto Legislativo 231/01

BDO S.p.A. REGOLAMENTO OPERATIVO ORGANISMO DI VIGILANZA. ai sensi del Decreto Legislativo 231/01 REGOLAMENTO OPERATIVO ORGANISMO DI VIGILANZA ai sensi del Decreto Legislativo 231/01 Approvato dal Consiglio di Amministrazione in data 27 settembre 2013 Art 1. Oggetto Il presente regolamento disciplina

Dettagli

REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA SUL TERRITORIO COMUNALE

REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA SUL TERRITORIO COMUNALE COMUNE DI QUINTANO (Provincia di Cremona) REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA SUL TERRITORIO COMUNALE Articolo 1 Oggetto 1 1. Il presente Regolamento disciplina il trattamento dei dati

Dettagli